ØKT KUNNSKAP, ØKT SIKKERHET Det er vi mennesker, ikke programvare eller maskiner, som er årsaken til de fleste datainnbruddene. Cyberkriminelle vet at det er enklere å lure folk enn å bryte seg gjennom sikkerhetsteknologi. Dette betyr at alle er i faresonen. Opplæring og bevisstgjøring av de ansatte, slik at de kan identifisere et phishing-forsøk, har blitt viktigere enn noensinne. Med opplæring innen datasikkerhet får medarbeiderne engasjerende e-læringsmoduler om phishing og andre typer sosial manipulasjon. Etter opplæringen får de simulerte phishing e-poster som tester tilegnet kunnskap. Dersom de klikker feil, eller oppgir navn og passord via phishing-eposten, får de en popup-melding som forklarer akkurat hva som har skjedd - umiddelbar, konstruktive tilbakemeldinger. Læringssystemet bruker AI for å sette sammen skreddersydde opplæringsmoduler for medarbeideren. Ledelsen får rapporter, og opplæringen fortsetter inntil antall feil er vesentlig redusert. SAMMENLIGNE PAKKER 68% 68% av sikkerhetsbrudd inkluderer menneskelig aktivitet 36% 36% av sikkerhetsbrudd er forårsaket phishing-aktiviteter 70% Organisasjoner med opplæring opplever 70% færre sosial manipuleringshendelser Oppdag verdens største bibliotek for sikkerhetsopplæring! Bla gjennom KnowBe4 Mod Store for å see alle ressursene du kan velge fra, inkludert opplærings-moduler, videoer, quiz, plakater, kunstverk, nyhetsbrev og mye mer. SE MOD STORE Oppdag verdens største bibliotek for sikkerhetsopplæring! Bla gjennom KnowBe4 Mod Store for å see alle ressursene du kan velge fra, inkludert opplæringsmoduler, videoer, quiz, plakater, kunstverk, nyhetsbrev og mye mer. SE MOD STORE KNOWBE4 FORDELER Alltid fersk og engasjerende innhold Åpne KnowBe4 tilbyr verdens største bibliotek med alltid-oppdatert innhold, bl.a. interaktivt innhold, videoer, quiz, plakater, nyhetsbrev og mye mer for å engasjere ansatte på tvers av ulike læringsstiler. Med KnowBe4 kan du bruke brukervurderinger for å oppdage hvor dine brukere står når det gjelder både sikkerhetskunnskap og sikkerhetskultur gjennom hele prosessen med sikkerhetsbevissthetstrening. Du vil også motta AI-drevne treningsanbefalinger basert på brukernes ferdighetsmålinger fra phishing-sikkerhetstestkampanjene dine. Effektive, phishing-simuleringer som ser svært troverdig ut Åpne Med KnowBe4 får du tilgang til over 25 000 maler som kontinuerlig oppdateres med de nyeste truslene, slik at du kan beskytte brukerne dine mot ondsinnede aktører. Basert på brukernes trenings- og phishing-historikk bruker KnowBe4 kunstig intelligens for å anbefale og levere informerte og tilpassede phishing-kampanjer. Social Engineering Indicators (SEI) gjør hver simulerte phishing-e-post til et verktøy du kan bruke for å trene ansatte dynamisk. Du kan også teste brukernes sikkerhetsbevissthet med callback-phishing, som inkluderer både en simulert e-post og telefonsamtale i én og samme phishing-kampanje. SmartRisk™ Agent og risikoscore Åpne SmartRisk Agent utnytter sluttbrukeratferdsdata fra tvers av KnowBe4s produkter for å hjelpe deg med å måle den menneskelige cyberrisikoen. Den bruker 7 domener og over 37 kategorier av signaler for å gi et fullstendig bilde av menneskelig risiko i organisasjonen din. Denne agentens multidimensjonale risikoscorer er designet for å gjøre det enklere for deg å se potensielle problemer på bruker-, gruppe- og organisasjonsnivå. Jo flere KnowBe4-produkter du bruker, desto mer omfattende innsikt får du. Geografisk tilpassede innhold og plattformstøtte Åpne KnowBe4 støtter 35+ språk for all opplæringsinnhold og simulerte phishing-øvelser. Det alltid-oppdaterte innholdet blir laget og lokalisert av globale kursvareeksperter, noe som resulterer i prisvinnende geografiske tilpassede treningsmoduler. Alle aspekter av KnowBe4 læringsplattformen er lokalisert, fra admin-konsollen til Mobile Learner App, slik at du kan gi brukerne en mer tilpasset læringsopplevelse. Levering og integrasjon med tredjeparts LMS Åpne Forenkle leveransen av KnowBe4-trening på tvers av ditt LMS med mindre arbeid og større kontroll. Våre flerspråklige SCORM-pakker gir deg én lettvektsfil per kurs som strømmer det nyeste innholdet og alle støttede språk direkte fra KnowBe4 – ingen store nedlastinger, ingen gjenopplasting og alltid oppdatert. I tillegg kan du, med KnowBe4 sin Cornerstone-integrasjon, automatisk synkronisere trening med Cornerstone-LMS og administrere oppgaver på en naturlig måte, med innhold trygt lagret av KnowBe4. Brukerfremgang og fullførte kurs flytes tilbake til KnowBe4 i sanntid, noe som gir full oversikt og reduserer administrativt arbeid. Tilpasset phishing og opplæring Åpne Denne tilpassbare og fleksible plattformen gir organisasjoner muligheten til å tilpasse phishing-maler og landingsider, merkevare opplæring-innhold og tilpasse test-/bestått-poeng basert på deres unike behov. Det er også mulig å laste opp egen SCORM-kompatible treningsvideoinnhold for å tilpasse opplæring. Robust læringsplattform for en utmerket læringsopplevelse Åpne KnowBe4 bruker én plattform for en samlet brukeropplevelse (LX) og kombinerer tilpassbare LX- og spillifiseringsalternativer med "leader board" og "badges" for å holde de ansatte engasjerte. Med KnowBe4 Mobile Learner APP kan brukerne lære når som helst og hvor som helst. Sanntidsanalyse og rapportering Åpne Bedriftsnivå-rapportering gir deg en samling av 60+ ferdige rapporter med innsikt som gir et helhetlig bilde av hele organisasjonen over tid. Med Executive Reports får du avanserte rapporter på ledelsesnivå for å hjelpe organisasjonen din med å ta effektive, datadrevne beslutninger om sikkerhetsprogrammet ditt. Du kan også bruke industri-benchmarking for å sammenligne organisasjonens Phish-prone-prosent, sikkerhetsbevissthetskompetanse og sikkerhetskulturscorer med andre organisasjoner i din bransje. Enkel oppsett og konfigurasjon Åpne KnowBe4 gjør brukeradministrasjon enkel ved hjelp av Active Directory-integrasjon (ADI) eller SCIM-integrasjon for identitetsleverandører som Azure, Okta eller OneLogin. Både ADI og SCIM-integrasjon lar deg laste opp eller synkronisere brukerdata til KnowBe4-konsollen og sparer deg for tid ved å eliminere behovet for manuell håndtering av brukerendringer. Med vår Automatiserte Sikkerhetsbevissthetsprogram (ASAP) kan du lage et tilpasset program for organisasjonen din, inkludert handlingsoppgaver, treningsinnholdsforslag og en oppgavekalender. Smart Groups lar deg levere dynamiske phishing-kampanjer ved å opprette grupper basert på kriterier du velger. Du kan også legge til ditt eget SCORM-kompatible treningsinnhold for å spare tid og redusere kostnader. Integrasjoner Åpne Bruk User Event API for å sende tilpassede sikkerhetsrelaterte hendelser fra tredjepartsplattformer (som Mimecast eller Splunk) til KnowBe4-konsollen, noe som deretter påvirker brukernes risikoscorer. API-en lar deg legge til sikkerhetsrelaterte hendelser i brukernes tidslinjer for å inkludere dem i deres totale risikoscore. I tillegg kan du integrere KnowBe4 Security Awareness Console med PhishER-plattformen din. Du kan sende PhishER-hendelser og handlinger til brukerens tidslinje og opprette Smart Groups basert på informasjonen du samler inn fra brukerne gjennom denne integrasjonen. Vi hjelper deg å komme i gang! IGANGSETTING OPPSETT RASK IGANGSETTING Vi konfigurerer og klargjør systemet for deg. Du kan velge standard konfigurasjon, eller tilpasset trening for forskjellige brukergrupper, avdelinger, eller lignende. KnowBe4 gir deg muligheten til å kun kjøre phishing-tester til å begynne med - og vente med opplæring til man ser resultater av testingen. Dette er i motsetning til veldig mange andre e-læringsløsninger. På den måten kan du kartlegge risikoen for sosial manipulering i organisasjonen. Og kanskje blir det lettere å introdusere opplæring hos medarbeidere når de kan se statistikker som viser et behov for trening. ×LukkKnowBe4 Security Awareness Training dashboard EKSEMPEL PÅ OPPSETT Ferdighetsvurdering - begynn med en vurdering av bevissthetsnivå blant de ansatte. Opplæring – kjør treningsmoduler for bevisstgjøring rundt sosial manipulering, med innhold som spiller på tillit, frykt og fristelser - bevist effektivt for å lure brukere. Utsending av simulert e-postsvindel – test og kartlegg de ansattes reaksjonsmønster. Ytterligere trening – introduser mer opplæring med aktuelle temaer, og temaer som ikke har blitt brukt tidligere i organisasjonen. Eksempelvis; datahåndtering, mobilbruk og apper, kryptovirus, og andre relevante trusler for bedriften. Påfølgende testing – hold fokuset oppe for å forbedre bevissthet. Gjenta - fortsett med testing, trening, og gjentagelse med nye temaer og vinklinger. ×LukkKnowBe4 Security Awareness Training dashboard
KNOWBE4 HJELPER DEG Å HOLDE SAMSVAR Dokumenter overholdelse. Reduser menneskelig risiko. Oppfyll globale standarder raskere med automatisert bevisstgjøring, sporingsverktøy for retningslinjer og revisjonsklare rapporter. ISO NIS 2 GDPR DORA PCI HIPAA CIS SOC 2 ISO 27001 Artikkel Krav Løsning Artikkel 7.3 - bevisstgjøring Vedlegg A 6.3 – bevisstgjøring, opplæring og kompetanseheving innen informasjons-sikkerhet Standarden krever at hver enkelt person under din kontroll — ansatte, innleide arbeidstakere og tredjeparter—må kjenne til fire ting: Retningslinje: Medarbeidere trenger ikke å memorere den, men de må vite at den finnes og hvor de kan finne den. Deres bidrag: Medarbeidere må forstå hvordan deres spesifikke jobb skaper sikkerhet (eller sårbarhet). Fordelene: Medarbeidere må forstå hvorfor sikkerhet er viktig. Konsekvensene: Medarbeidere må forstå konsekvensene av svikt. Dette inkluderer disiplinære tiltak, juridisk ansvar og skade på virksomheten. Bevisstgjøring, opplæring og trening innen informasjonssikkerhet (IT-sikkerhetsbevissthet) handler om å informere brukere om betydningen av informasjonssikkerhet. Bevissthet skal motivere dem til å forbedre sine sikkerhetspraksiser på datamaskiner. Medarbeiderne må gjøres oppmerksomme på potensielle sikkerhetsrisikoer knyttet til sine aktiviteter og lære hvordan de kan beskytte seg mot disse. Bevisstgjøring, opplæring og trening innen informasjonssikkerhet er avgjørende for enhver organisasjons suksess. Alt personell må forstå betydningen av informasjons-sikkerhet og hvilke konsekvenser det har for alle. Jo bedre ansatte forstår hvordan de kan beskytte seg mot cybertrusler, desto sikrere blir organisasjonen. Bruk KnowBe4 til å gjøre bevissthet om til dokumentasjon. Hver opplæringslogg, bekreftelse på retningslinjer og resultat fra phishing-tester blir loggført, tidsstemplet og kan eksporteres for ISO-revisjoner – slik at du enkelt kan levere «dokumentert informasjon» til revisorer. Hold brukere kontinuerlig i samsvar med regelverket. Automatiserte læringsplaner og påminnelser er i tråd med punkt 7.3 (tidligere 7.2.2 i 2013-versjonen). Vedlegg A.6.3 styrkes med jevnlig opplæring og repetisjon, og revisjonsspor viser nøyaktig når og hvordan bevisstheten ble opprettholdt. Reduser tid brukt på revisjonsforberedelser. Sentraliser opplæringslogger, bekreftelser på retningslinjer og phishing-resultater for å støtte informasjonssikkerhetsstyringssystemet (ISMS), risikohåndteringsplaner og ledelsesevalueringer. NIS 2 Artikkel Krav Løsning Artikkel 21 - Opplæring om datasikkerhet Artikkel 21(2)(g) Får vi grunnleggende cyber-hygiene og ansattopplæring med denne løsningen? Artikkel 21(2)(i) Styrker løsningen HR-sikkerheten, tilgangskontrollpolitikk og håndtering av digitale enheter? Artikkel 21(2)(f) Gir løsningen bevis på at tiltakene er effektive? Artikkel 21(2)(b) Støtter løsningen håndtering av hendelser og rapportering? Artikkel 21(2)(g) Ja, løsningen inkluderer gjentakende, rollebasert opplæring for ansatte og ledelse med fullføringsregistrering. Artikkel 21(2)(i) Ja, bekreftelse av retningslinjer håndheves og følges opp, og innleide arbeidstakere inkluderes for å sikre fullstendig dekning. Artikkel 21(2)(f) Ja, phishing-tester, mikroveiledning og risikotrender brukes til å dokumentere målbare forbedringer. Artikkel 21(2)(b) Ja, brukerne trenes i å oppdage mistenkelig aktivitet og reagere raskt, noe som støtter meldingsplikt. Artikkel 29 - Overholdelse Artikkel 29 Kan løsningen dokumentere overholdelse overfor tilsynsmyndigheter? Artikkel 29 Revisjonsklare rapporter gir dokumentasjon for myndigheter, styret og revisorer. GDPR Artikkel Krav Løsning Artikkel 39 Artikkel 39 Ansattopplæring GDPR krever regelmessig, dokumentert opplæring for å sikre at teamet ditt forstår prinsippene for personvern, deres ansvar og risikoer som phishing. Dette beskytter ikke bare kundedata, men viser også myndighetene at du tar overholdelse på alvor. Med KnowBe4 kan du: Lever GDPR-rettet opplæring Dekk nøkkelprinsipper, rettigheter og rapportering av brudd Valider bevissthet gjennom phishing-tester Reduser sannsynligheten for databrudd Automatiser GDPR-opplæring for ansatte og innleide arbeidstakere Artikkel 5(2) Artikkel 5(2) Ansvarlighet Du må føre oversikt over dine databehandlingsaktiviteter, retningslinjer og opplæring. Tilsynsmyndigheter kan når som helst be om bevis på at du har følgt GDPR-reglene. Å digitalisere dine overholdelsesdokumenter vil redde deg under en uanmeldt revisjon. Med KnowBe4 kan du: Distribuer og spor bekreftelse av retningslinjer Sørg for at ansatte aksepterer og følger personvernpolitikk. Gi bevis til myndighetene med sentraliserte dashbord og eksporterbare poster DORA Artikkel Krav Løsning Artikkel 13(6) - Sikkerhetsbevissthet Artikkel 13(6) Pålegger obligatoriske IKT-sikkerhetsbevissthets-programmer og opplæring i digital operasjonell motstandsdyktighet for alle ansatte og ledelsen. Med KnowBe4 får du kontinuerlig opplæring og bevisstgjøring, kombinert med atferdsvalidering, samt håndtering av menneskeskapte sårbarheter. Artikkel 5(2)(g) med lenke til Artikkel 13(6) Overvåk bevisstgjøring og opplæring og inkluder i budsjett Bevisdashbord og eksporteringsfunksjoner støtter styringsorganets plikt til å overvåke og budsjettere for bevisstgjøring og opplæring. Artikkel 6 Krav på regelmessig revisjon av IKT Revisjonsklare rapporter gir dokumentasjon for myndigheter, styret og revisorer. PCI DSS Artikkel Krav Løsning Artikkel 12.6 Artikkel 12.1–12.2 Artikkel 12.6.3.1 Artikkel 12.10 Artikkel 12.6 - kontinuerlig opplæring om datasikkerhet Artikkel 12.1–12.2 - verifisering på at policyer har blitt lest Artikkel 12.6.3.1 - beskyttelse mot phishing Artikkel 12.10 - planlegging for håndtering av hendelser KnowBe4 hjelper med dokumentasjon: Oversikt over opplæring og kunnskapsstatus Medarbeidere må lese, og bekrefte med signature, at de har lest retningslinjer Oversikt over phishing-tester og risikoscore for klikk eller nedlasting i en falsk e-post Bevis på beredskap for hendelser registreres med tidsstempler og eksporteres for tilsynsmyndigheter Innleide arbeidskraft og tredjeparter kan inkluderes i opplæring. (Enkelt on-boarding for alle som har tilgang til kortbrukeres opplysninger.) HIPAA Regel Krav Løsning Sikkerhetsregel §164.308(a)(5) Personvernregel §164.530(b)(1) Krever løpende opplæring av medarbeidere for å beskytte helseopplysninger (PHI) og sikre at ansatte forstår sine ansvarsområder. KnowBe4 hjelper med dokumentasjon: Oversikt over opplæring og bevissthetstilstand. Medarbeidere må lese, og bekrefte, med signature, at de har lest retningslinjer. Oversikt over phishing-tester og risikoscore basert på klikk eller nedlasting i en falsk e-post. Bevis på beredskap for hendelser registreres med tidsstempler og eksporteres for tilsynsmyndigheter. Håndter HIPAA-opplæring, retningslinjer og rapportering for flere helseklienter fra én plattform. CIS CONTROLS Control Krav Løsning Control 14 - Security Awareness and Skills Training Control 14 Opprett et fullstendig bevisstgjørings- og kompetanseprogram med dokumentasjon på kontinuerlig faglig dyktighet. Control 14.2 Valider motstandsdyktighet og reduser hendelser Kjør målrettede phishing-simuleringer med mikroveiledning for å vise målbart forbedring over tid. KnowBe4 sine automatiserte, rollebaserte programmer bygger kontinuerlig kompetanse. Fullførte kurs, repetisjoner og poengsummer tidsstemples og kan eksporteres som dokumentasjon på forespørsel. KnowBe4 phishing-simuleringer (med mikroveiledning) skaper målbart forbedring over tid. Control 3, 5, 15, 17 - Dokumentasjon Planlegg og vær forberdt for hendelser og dokumentasjon. KnowBe4 reduserer komplianseinnsatsen med sentralisert dokumentasjon Én plattform for opplæringsposter, bekreftelser på retningslinjer og phishing-trender. Generer eksportklare rapporter for styret og revisorer for Kontroll 14, med støttedokumentasjon for Controls 3, 5, 15 og 17. SOC 2 Artikkel Krav Løsning Artikkel CC1.1 og CC2.1 Artikkel CC4.1 Artikkel CC7.2 Artikkel CC7.4 Artikkel CC1.1 og CC2.1 - Øk ansattes bevissthet og dokumenter kontinuerlig overholdelse. Artikkel CC4.1 - Overvåk aktiviteter Artikkel CC7.2 - Oppdag unormal atferd Artikkel CC7.4 - Planlegg for, og håndter, hendelser KnowBe4 sine rollebaserte, automatiserte opplæringsmoduler i samsvar med CC1.1 og CC2.1 hjelper deg med å bygge ansattes bevissthet og dokumentere kontinuerlig overholdelse, noe som reduserer risikoen for menneskelige feil. KnowBe4 sine realistiske phishing-tester og mikroveiledning validerer ansattes motstandsdyktighet mot sosial manipulering, i tråd med CC7.2 (overvåking av avvik) og CC7.4 (beredskap for hendelseshåndtering). Med KnowBe4 sentralisert rapportering får du oversikt over opplæring, bekreftelser på retningslinjer og phishing-resultater for å støtte CC4.1 (overvåkingsaktiviteter) og reduserer forberedelsestiden for revisjon fra dager til minutter. ISO 27001 × Lukk Virkeområdet GLOBAL - alle kan søke sertifisering - ikke lovpålagt men kan være et krav fra kunden. Beskrivelse International Organization for Standardization ISO/IEC 27001:2022 er den globale standarden for informasjonssikkerhetsstyring (ISMS). Standarden støtter bedrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere. Hovedmål Konfidensialitet: Sikre at kun autoriserte personer har tilgang til informasjon. Integritet: Beskytte informasjon mot uautoriserte endringer. Tilgjengelighet: Sikre at informasjon er tilgjengelig når den trenges. Kjernekomponenter Risikostyring: Identifisere, vurdere og håndtere informasjonssikkerhetsrisiko. Implementere kontroller for å redusere risiko. ISMS-rammeverk: Etablere retningslinjer, prosedyrer og prosesser for å styre informasjonssikkerhet. Kontinuerlig overvåke og forbedre ISMS. Vedlegg A – Kontroller: Et sett med 93 kontroller (per ISO 27001:2022) som dekker områder som tilgangskontroll, kryptering, fysisk sikkerhet og hendelseshåndtering. Sertifiseringsprosess Implementering: Utvikle og implementere et ISMS i samsvar med ISO 27001-krav. Intern revisjon: Vurdere ISMS for overholdelse og effektivitet. Sertifiseringsrevisjon: En ekstern revisor evaluerer ISMS. Hvis systemet er i samsvar, mottar organisasjonen ISO 27001-sertifisering. Oppfølgingsrevisjoner: Regelmessige revisjoner for å opprettholde sertifiseringen. Fordeler med ISO 27001 Forbedret sikkerhet: Reduserer risikoen for datainnbrudd og cybertrusler. Regulatorisk overholdelse: Hjelper med å oppfylle juridiske og regulatoriske krav. Kundetillit: Demonstrerer forpliktelse til å beskytte sensitiv informasjon. Konkurransefortrinn: Skiller organisasjoner i markedet. Hvem bør bruke ISO 27001? Organisasjoner av alle størrelser og bransjer som håndterer sensitiv informasjon. Bedrifter som ønsker å forbedre sin informasjonssikkerhet NIS 2 × Lukk Beskrivelse Formålet med Network and Information Security 2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU. GDPR × Lukk Virkeområdet EU - gjelder for alle organisasjoner som behandler personopplysninger om EU-borgere, uavhengig av hvor organisasjonen er lokalisert. Beskrivelse General Data Protection Regulation er en EU-forordning som fastsetter regler for beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger, samt regler for fri flyt av personopplysninger. Forordningen beskytter grunnleggende rettigheter og friheter for enkeltpersoner, og særlig deres rett til vern av personopplysninger. Hovedmål med GDPR Beskyttelse av personopplysninger GDPR skal sikre at personopplysninger behandles på en måte som beskytter enkeltpersoners rettigheter og personvern. Standardisering av personvernregler Skape ensartede regler for databeskyttelse i hele EU, slik at både borgere og bedrifter har klare retningslinjer. Gi enkeltpersoner kontroll Styrke enkeltpersoners rettigheter over sine egne data, inkludert rett til innsyn, retting og sletting. Regulere internasjonale datastrømmer Sikre at personopplysninger overføres trygt også utenfor EU, med tilstrekkelige beskyttelsestiltak. Kjernekomponenter i GDPR Lovlighet, rettferdighet og gjennomsiktighet Personopplysninger må behandles lovlig, rettferdig og på en åpen måte for den registrerte. Formålsbegrensning Data kan kun samles inn for spesifikke, eksplisitte og legitime formål. Dataminimering Bare nødvendig informasjon skal samles inn og behandles. Nøyaktighet Personopplysninger må være korrekte og oppdatert. Lagringsbegrensning Data kan ikke lagres lenger enn nødvendig for formålet. Integritet og konfidensialitet Personopplysninger må beskyttes mot uautorisert tilgang, tap eller ødeleggelse. Ansvarlighet Organisasjoner må kunne dokumentere overholdelse av GDPR. Plikter for organisasjoner Melde databrudd til tilsynsmyndigheter innen 72 timer. Utpeke en personvernombud (Data Protection Officer, DPO) om nødvendig. Gjennomføre personvernvurderinger (Data Protection Impact Assessments, DPIA) for risikofylte prosjekter. DORA × Lukk Virkeområdet EU - gjelder for alle finansielle aktører, uavhengig av størrelse, inkludert banker, forsikringsselskaper, investeringsselskaper, betalingstjenesteleverandører, verdipapirforetak, børser, pensjonsforetak, finansielle infrastrukturer, samt IKT-leverandører som yter kritiske tjenester til finansielle enheter. Beskrivelse Formålet med Digital Operational Resilience Act er å sikre høy grad av digital operasjonell motstandsdyktighet hos foretak i finanssektoren. DORA gir regler for styring av risiko, hendelseshåndtering, testing av digital operasjonell motstandsdyktighet, styring av tredjepartsrisiko og deling av informasjon på IKT-området.edrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere. Kjernekomponenter i DORA 1. IKT-risikostyring Organisasjoner må etablere et robust rammeverk for å identifisere, vurdere, håndtere og overvåke IKT-risiko. Dette inkluderer: Risikoidentifisering: Kartlegging av potensielle trusler (f.eks. cyberangrep, systemfeil). Risikovurdering: Analyse av sannsynlighet og konsekvenser. Risikoreduserende tiltak: Implementering av sikkerhetsløsninger (f.eks. kryptering, tilgangskontroll). Overvåking og rapportering: Kontinuerlig oppfølging og dokumentasjon. 2. IKT-hendelseshåndtering Organisasjoner må ha klare prosesser for å håndtere, klassifisere og rapportere IKT-hendelser: Deteksjon: Oppdage hendelser raskt (f.eks. via overvåkingsverktøy). Respons: Iverksette tiltak for å begrense skader. Rapportering: Melde alvorlige hendelser til tilsynsmyndigheter (f.eks. Finanstilsynet i Norge) innen 1 time etter oppdagelse. Gjenoppretting: Sikre rask tilbakeføring til normal drift. 3. Digital operasjonell motstandsdyktighetstesting Organisasjoner må regelmessig teste sin digitale motstandsdyktighet: Sårbarhetstester: Identifisere svakheter i systemer. Trusselsimuleringer: Simulere cyberangrep for å teste respons. Penetrasjonstester: Aktive tester for å avdekke sikkerhetshull. Frekvens: Minst årlig for kritiske systemer. 4. IKT-risiko fra tredjeparter Organisasjoner må overvåke og styre risiko knyttet til leverandører og underleverandører: Due diligence: Vurdere tredjeparters sikkerhetsnivå før samarbeid. Kontraktskrav: Sikre at avtaler inkluderer sikkerhetskrav og ansvarsfordeling. Kontinuerlig overvåking: Regelmessig evaluere tredjeparters etterlevelse. 5. Informasjonsdeling Organisasjoner må dele relevant informasjon om IKT-trusler og hendelser med: Tilsynsmyndigheter (f.eks. Finanstilsynet). Andre finansielle aktører (for å forebygge systemiske risikoer). EUs cybertrusselsinformasjonsplattform (f.eks. ECCC – European Cyber Crises Coordination). PCI-DSS × Lukk Virkeområdet GLOBAL - gjelder alle organisasjoner som er involvert i betalingskort-transaksjoner, uavhengig av størrelse eller bransje. Inkluderer forhandlere, prosessorer, oppkjøpere, utstedere og tjenesteleverandører. Beskrivelse Payment Card Industry Data Security Standard gir et grunnleggende sett av tekniske og operative krav utformet for å beskytte betalingskontoinformasjon. Virkeområdet omfatter enheter som lagrer, behandler eller overfører kortinnehaverdata (CHD) og/eller sensitiv autentiseringsdata (SAD), eller som kan påvirke sikkerheten i kortinnehavermiljøet (CDE). 12 hovedkravene i PCI-DSS Installer og vedlikehold en brannmur for å beskytte kortdata Brannvegger må konfigureres for å begrense trafikk til og fra systemer som håndterer kortdata. Standardiserte sikkerhetsregler må dokumenteres og oppdateres Ikke bruk standardpassord eller usikre innstillinger fra leverandører Endre alle standardpassord og fjern unødvendige tjenester/protokoller. Sikre at alle systemer har unike, sterke passord. Beskytt lagrede kortdata Krypter kortdata under lagring (f.eks. med AES-256). Masker PAN (Primary Account Number) når det vises (f.eks. kun de 4 siste sifrene). Ikke lagre sensitiv autentiseringsdata (f.eks. CVV/CVC, PIN-koder). Krypter overføring av kortdata over åpne, offentlige nettverk Bruk sterk kryptering (f.eks. TLS 1.2 eller høyere) for å beskytte data under overføring. Beskytt alle systemer mot skadelig programvare Installer og oppdater antivirusprogrammer på alle systemer. Utfør regelmessige skanninger for skadelig programvare. Utvikle og vedlikehold sikre systemer og applikasjoner Oppdater all programvare med de nyeste sikkerhetspatchene. Fjern eller beskyt sårbare applikasjoner. Implementer sikker programmeringspraksis for å unngå sårbarheter Begrens tilgang til kortdata til kun de som trenger det Bruk rollebasert tilgangskontroll (RBAC) for å begrense tilgang. Implementer tofaktorautentisering for fjerntilgang Tildel unike brukernavn og passord til alle med tilgang Passord må være komplekse og oppdateres regelmessig. Bruk multifaktorautentisering (MFA) for alle eksterne og administrative tilganger. Begrens fysisk tilgang til kortdata Bruk tilgangskontroll (f.eks. nøkkelkort, biometri) til serverrom og kontorer. Overvåk fysiske områder med videoovervåking og loggføring av besøkende. Logg og overvåk all tilgang til kortdata Loggfiler må inneholde hvem, når, og hva som ble tilgang til. Oppbevar loggene i minst 1 år (3 måneder lett tilgjengelig). Test sikkerheten regelmessig Utfør kvartalsvise sårbarhetsskanninger. Gjennomfør årlige penetrasjonstester (utført av kvalifiserte tredjeparter). Bruk intrusjonsdetekteringssystemer (IDS) og intrusjonsforebyggingsystemer (IPS). Vedlikehold en sikkerhetspolicy for all personell Utvikle og oppretthold en sikkerhetspolicy som dekker ansvarsfordeling, risikostyring, og håndtering av hendelser. Alle ansatte må være opplært i PCI-DSS-krav og sikkerhetsrutiner. Utfør årlig sikkerhetsopplæring for alle ansatte. HIPAA × Lukk Virkeområdet USA - enhver virksomhet som ved avtale har forpliktet seg til å følge den. Beskrivelse Norges versjon av HIPAA er Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren. Hovedmål med normen Normen skal bidra til tilfredsstillende informasjonssikkerhet og personvern hos den enkelte virksomhet, i infrastruktur, nettverk- og informasjonssystemer i helsesektoren generelt. Normen skal bidra til å forebygge, avdekke, motvirke og håndtere uønskede hendelser i nettverk- og informasjonssystemer, tjenester og produkter som brukes for å levere digitale tjenester i helsesektoren. Normen skal bidra til at påvirkede virksomheter har egnede tekniske, organisatoriske, fysiske og personellmessige tiltak for informasjonssikkerhet og personvern for sin behandling av helse- og personopplysninger. Last ned EXCEL-ark med krav i normen. CIS CONTROLS × Lukk Virkeområdet GLOBAL - anbefalt for alle Beskrivelse Center for Internet Security Controls er et prioriterte sett med anbefalte sikkerhetstiltak utviklet for å beskytte mot de mest utbredte cybertruslene mot systemer og nettverk. CIS Controls oppdateres jevnlig basert på trussellandskapet og kan brukes som sikkerhetens sjekkliste. CIS Critical Security Controls (CIS 18) Inventar og kontroll av maskinvareenheter Inventar og kontroll av programvareenheter Kontroll av kontinuerlig sårbarhetsstyring Kontrollerte bruk av administrative privilegier Sikker konfigurasjon av maskinvare og programvare på enheter Opprettholdelse, overvåking og analyse av sikkerhetslogger E-post- og nettleserbeskyttelse Beskyttelse mot skadelig programvare Begrensning og kontroll av nettverkstrafikk Datagjenoppretting Sikker konfigurasjon av nettverksenheter Grensebeskyttelse (Endepunkter) Databeskyttelse Kontrollert tilgang basert på behov Kontroll og beskyttelse av trådløse tilgangspunkter Overvåking og kontroll av brukeratferd Implementering av et sikkerhetsbevissthets- og opplæringsprogram Sikkerhetsprogram for applikasjonsprogramvare SOC 2 × Lukk Virkeområdet USA - frivillig men krav for enhver virksomhet som, ved avtale, har forpliktet seg til å følge den. Beskrivelse Service Organization Control 2 er et rammeverk utviklet av AICPA (American Institute of Certified Public Accountants) for rapportering. Den brukes til å vurdere et selskaps interne kontroller for å sikre kundedata og teknisk utvikling. En SOC 2-rapport dokumenterer om organisasjonens sikkerhetstiltak er robuste og effektive. For å oppnå SOC 2-samsvar må selskaper etablere klare retningslinjer og prosedyrer for datasikkerhet, som alle ansatte må følge. Dette omfatter også kontinuerlig arbeid med å styrke selskapets IT-infrastruktur og systemer. 5 tillitsprinsipper i SOC 2 Sikkerhet: Beskyttelse av systemer og data mot uautorisert tilgang, både fysisk og logisk. Nøkkelementer: Tilgangskontroll (f.eks. brukernavn/passord, multifaktorautentisering) Nettverksikkerhet (f.eks. brannmurer, kryptering) Overvåking og håndtering av sikkerhetshendelser Beskyttelse mot skadelig programvare Tilgjengelighet: ystemer, produkter eller tjenester er tilgjengelige for drift og bruk som avtalt. Nøkkelementer: Overvåking av systemytelse og oppetid Planlegging for katastrofe- og gjenoppretting (DRP) Redundans og feiltoleranse i infrastrukturen Behandlingsintegritet: Systemer og prosesser utfører sine oppgaver fullstendig, nøyaktig, rettidig og med tillatelse. Nøkkelementer: Validering av data og transaksjoner Overvåking av feil og unntak Automatiserte kontroller for å forhindre eller oppdage feil Konfidensialitet:Beskyttelse av sensitiv informasjon, som personopplysninger eller forretningshemmeligheter, mot uautorisert tilgang eller avsløring. Nøkkelementer: Klassifisering og håndtering av konfidensiell informasjon Kryptering av data (både i transit og i hvile) Tilgangskontroll og avtaler om taushetsplikt Personvern: Beskyttelse av personopplysninger i samsvar med gjeldende lover og regler (f.eks. GDPR). Nøkkelementer: Innsamling, bruk, lagring og sletting av personopplysninger Samtykkehåndtering og brukerrettigheter Overholdelse av personvernreguleringer 2 typer sertifiseringer i SOC 2 Type I vurderer utformingen og eksistensen av interne kontroller på et bestemt tidspunkt, og sikrer at de er tilstrekkelig strukturert for å oppfylle gjeldende kriterier. Denne typen revisjon gir et øyeblikksbilde av kontrollene som er på plass, og bekrefter deres tilstedeværelse og egnethet for å beskytte data. I Type II rapporterer den eksterne revisoren om egnetheten til utformingen og eksistensen av kontrollene, samt om driftsmessig effektivitet av disse kontrollene i løpet av en definert periode. Dette innebærer at den eksterne revisoren gjennomfører en detaljert undersøkelse av tjenesteorganisasjonens interne kontroller og også vurderer om alle kontroller fungerer effektivt i samsvar med forhåndsdefinerte prosesser, kontroller og prosedyrer.